Microsoft öffnet mit Sicherheits-Update Tür für KI in Behörden

Microsoft reagiert mit einem Jahresend-Update auf scharfe deutsche Datenschutzauflagen. Die neuen Funktionen könnten den Weg für den breiten Einsatz von KI-Assistenten in der öffentlichen Verwaltung freimachen.

Die Debatte um KI in Behörden erreicht einen Wendepunkt. In der letzten Kalenderwoche 2025 hat Microsoft ein umfangreiches Sicherheits-Update für seine Microsoft 365 Copilot– und Purview-Suite veröffentlicht. Die neuen Features adressieren direkt langjährige Compliance-Bedenken europäischer Datenschützer. Der Schritt folgt knapp drei Wochen nach einer kritischen Resolution der Datenschutzkonferenz (DSK), die „Datenschutz durch Technikgestaltung“ für KI in Behörden fordert.

Mit der verschärften EU-KI-Verordnung, die 2026 voll greift, könnten diese Anpassungen den Weg für eine rechtsichere Integration generativer KI ebnen. Der bislang stockende Rollout von KI-Copilots in Bundes- und Landesbehörden erhält damit neuen Schub.

Die neue EU-KI-Verordnung und der jüngste Entwurf des „Code of Practice“ verlangen detaillierte Dokumentation, Risikoklassifizierung und Nachweise – viele Hersteller und Behörden stehen vor komplexen Umsetzungsfragen. Dieses kostenlose E‑Book fasst die wichtigsten Pflichten kompakt zusammen, erklärt Kennzeichnungsanforderungen, Risikoklassen und Übergangsfristen und liefert praxisnahe Schritte, Checklisten und Vorlagen, damit Ihr KI‑Projekt rechtssicher wird. Ideal für Entwickler, IT‑Leiter und Compliance‑Teams. Jetzt kostenlosen KI-Leitfaden herunterladen

Geziielte Datenbereinigung als Antwort auf „Blackbox“-Vorwürfe

In einem technischen Update der vergangenen Woche hat Microsoft die „Data Security Investigations“-Funktionen in Microsoft Purview massiv ausgebaut. Branchenbeobachter werten dies als direkte Reaktion auf die „Blackbox“-Bedenken des öffentlichen Sektors. Die neue Funktionalität erlaubt IT-Administratoren, sensible oder zu weit geteilte Inhalte gezielt während einer Untersuchung zu bereinigen. Das senkt das Risiko von Datenlecks erheblich – ein Hauptkritikpunkt von Datenschützern.

Laut den Release Notes ermöglicht das Update eine KI-gestützte Echtzeit-Analyse, um Compliance-Verstöße sofort zu identifizieren. Für Behörden, die hochsensible Bürgerdaten verwalten, bietet dies einen „Not-Aus-Schalter“ für Daten, die versehentlich in den Kontext eines KI-Modells gelangt sein könnten.

Zudem hat Microsoft einen neuen „Admin Switch for Anthropic Models“ und ein regelbasiertes Managementsystem für Drittanbieter-Apps in Teams implementiert. Behörden-IT-Abteilungen können damit streng definieren, welche KI-Modelle und externen Anwendungen mit ihrer internen Umgebung interagieren dürfen. Durch die Beschränkung des Datenflusses auf genehmigte „Grenzen“ soll sichergestellt werden, dass keine klassifizierten Informationen die sichere EU-Infrastruktur verlassen.

DSK-Resolution als Treiber: Druck zeigt Wirkung

Der Zeitpunkt des Microsoft-Updates hängt eng mit dem regulatorischen Druck zusammen. Am 12. Dezember 2025 veröffentlichte die DSK nach ihrer 110. Konferenz in Berlin eine Resolution. Darin fordern die unabhängigen Datenschutzaufsichtsbehörden IT-Hersteller explizit zu mehr Verantwortung auf.

Die DSK kritisierte die jüngsten Vorschläge der EU-Kommission zum „Digital Omnibus“-Gesetz als nicht weitreichend genug. Die Behörden verlangen, dass Anbieter digitaler Produkte – mit klarem Fokus auf KI-Plattformen wie Copilot – ihre Systeme so gestalten müssen, dass „Datenschutz durch Technikgestaltung“ der Standard ist.

Die Verantwortung dürfe nicht allein bei den nutzenden Behörden liegen, betonte die DSK. Stattdessen müssten die Hersteller nachweisbare Garantien liefern. Marktbeobachter sehen im KW-52-Update den Versuch Microsofts, genau diese „technischen Hebel“ bereitzustellen – etwa die Möglichkeit, Dateninputs nachträglich zu bereinigen und strikte Modell-Isolation durchzusetzen.

EU-KI-Verordnung: „Code of Practice“ setzt den Rahmen

Diese Entwicklungen finden vor dem Hintergrund der fortschreitenden Umsetzung der EU-KI-Verordnung statt. Am 17. Dezember 2025 veröffentlichte die EU den ersten Entwurf des „Code of Practice“ für General-Purpose AI (GPAI). Das Dokument legt Transparenz- und Risikomanagement-Standards fest, die Anbieter wie Microsoft erfüllen müssen.

Der Entwurf klärt die Transparenzpflichten für KI-Modelle. Er fordert detaillierte Dokumentation der Trainingsdaten und robuste Urheberrechts-Compliance. Für die öffentliche Verwaltung dient der Code als Beschaffungsleitlinie: Nur KI-Tools, die diesen Standards entsprechen, dürfen rechtssicher eingekauft werden.

Rechtsexperten sprechen von einer „Compliance-Zange“. Die Kombination aus dem neuen EU-Code und der strengen DSK-Auslegung der DSGVO zwinge US-Tech-Giganten, ihre Produkte speziell für den europäischen öffentlichen Sektor anzupassen. Die Updates dieser Woche deuten darauf hin, dass diese Strategie wirkt.

Pilotprojekte und die Rolle der BeKI-Initiative

Die praktischen Auswirkungen sind bereits in Bundes-Pilotprojekten spürbar. Das „Beratungszentrum für Künstliche Intelligenz“ (BeKI), das die KI-Einführung in der Bundesverwaltung koordiniert, testet verschiedene „souveräne“ KI-Modelle. Die neuen Purview-Funktionen könnten es bestehenden Microsoft-365-Umgebungen ermöglichen, die strengen Sicherheitsanforderungen des Bundes zu erfüllen. Das würde teure, separate „Sovereign Cloud“-Infrastrukturen möglicherweise überflüssig machen.

Ein Statusbericht des Bundesinnenministeriums betonte im Dezember, dass „In-House“-KI-Lösungen für Verschlusssachen zwar bevorzugt werden. Die Allgegenwart von Microsoft Office mache eine kompatible Copilot-Lösung für allgemeine Verwaltungsaufgaben aber höchst wünschenswert. Der im Januar 2025 gestartete „Marktplatz der KI-Möglichkeiten“ (MaKI) listet mehrere Pilotanwendungen, die von den neuen Sicherheitskontrollen profitieren und 2026 in den operativen Betrieb übergehen könnten.

Ausblick 2026: Vom Pilotbetrieb zum Regelbetrieb

Mit dem Jahresende 2025 ist die Bühne bereitet für einen breiteren KI-Rollout in der deutschen Verwaltung. Das Zusammenwirken von regulatorischer Klarheit der DSK, dem finalisierten EU-Code und den technischen Zugeständnissen Microsofts deutet darauf hin, dass die Blockadephase vorbei sein könnte.

Für das erste Quartal 2026 erwarten Analysten eine Welle von „Compliance-Zertifizierungen“. Dabei prüfen unabhängige Auditoren, ob die neuen Purview-Funktionen die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) identifizierten Risiken wirksam mindern. Bei Erfolg könnte der flächendeckende Einsatz von KI-Copilots für Verwaltungsakte, Aktenzusammenfassungen und Bürgerkommunikation noch vor der nächsten Bundestagswahl Realität werden.

Datenschutzverbände warnen jedoch, dass technische Features allein nicht ausreichen. Die DSK hat angekündigt, die praktische Anwendung der neuen Tools genau zu überwachen. Die kommenden Monate werden zeigen, ob der „Compliance-Schalter“ genügt, um die Skepsis deutscher Behörden in Akzeptanz zu verwandeln.

PS: Die Fristen zur Umsetzung der EU-KI-Verordnung rücken näher — prüfen Sie jetzt, ob Ihre KI‑Systeme kennzeichnungspflichtig sind und welche Nachweise fehlen. Der kostenlose Umsetzungsleitfaden erklärt konkret, wie Behörden und Anbieter Dokumentation, Transparenzpflichten und Risikomanagement binnen kurzer Zeit erfüllen können. Praktische Vorlagen helfen bei der Audit‑Vorbereitung und Umsetzung bis 2026. Kostenlosen Umsetzungsleitfaden zur KI-Verordnung sichern